8月31日,金融信息化研究所副所长习辉做客新华网。习辉在谈到互联网金融信息安全时表示,互联网金融发展高度依赖技术和网络,风险传递快,外部性强,互联网金融信息安全问题引人关注。目前,我国互联网金融信息安全体系尚未建立,相关制度很不完善,确实存在着很多让人担忧的问题。
第一,业务系统安全和业务连续性问题突出。传统金融机构经过20多年的信息化建设,对于安全已经有一个非常完善的保障体系,而且有非常先进的技术支撑体系,能够较好地实现业务系统连续稳定运行。互联网金融机构更多的是民间金融的性质,我们所说的是草根金融崛起,在系统建设方面投入不足,调研数据表明,应用系统安全和业务连续性问题非常突出,可能导致支付中断、客户信息流失以及客户信息泄密等问题。业务系统中风险监控类问题主要是集中在交易审核和监控方面,没有黑名单管理系统,已列入黑名单的用户信息仍可重新注册,身份识别、无人工审核等问题,同时缺乏行业的风险事件报送和信息共享机制。
第二,信息数据安全风险。互联网金融业务模式多基于大数据,数据使用范围和隐私保护都很不明确,从我国立法角度和全世界立法角度来看都没有数据安全边界的明确规定。在这个过程中带来大量问题,现在我们都感觉到没有什么个人隐私,你在网上留的信息都会被诸多网站爬虫收取过来,数据管理无序化,风险隐患较大。此外,数据存储安全问题,大数据的存储的物理安全性和对数据的容灾机制要求比较高,存储安全管理不善,容易带来数据泄露。
第三,在客户端认证有一些风险。金融行业是欺诈的重灾区,在互联网金融的环境下,由于互联网金融机构对安全投入少,平台运营资金量大,容易受到计算机病毒和网络黑客的攻击。计算机病毒可通过互联网快速扩散和感染,一旦某个程序被病毒感染,在互联网金融业务中,可能导致出现系统性风险,进而导致体系的崩溃。
第四,整个对于信息的应急和外包服务管理缺乏经验积累,在应急处置水平上与传统金融机构相比差距还是比较大的。截至目前,我国大多数互联网金融机构对外包服务的风险管理较为粗放,缺乏IT风险评估和控制机制,缺乏对突发事件应急管理缺乏评估与统筹,尤其那些尚未纳入监管体系的P2P等机构系统,实际演练经验缺乏,一旦发生危急情况,将带来巨大损失。
第五,信息标准规范缺失,缺乏安全依据,信息安全防护水平良莠不齐。短板明显的从业者容易被攻击,从而会造成全行业信息安全风险较高的印象。
